11 décembre 2024

Il faut absolument un plan de continuité national

Dans cet entretien, notre interlocuteur s’attarde sur la nécessité d’un plan de continuité d’activité aussi bien dans le secteur financier que dans tous les secteurs de souveraineté ; secteurs d’ailleurs qui ne peuvent se « permettre » un arrêt.
IT MAG : Parlez-nous de Devoteam et de ses métiers?
Ahmed Zerrouki : Devoteam est un groupe international d’origine française qui a été créé en 1995 et qui aujourd’hui est présent dans 23 pays, dont bien sûr l’Algérie, le Maroc, la Tunisie si l’on prend les pays arabes ; parmi lesquels figurent aussi les Emirats arabes unis et l’Arabie saoudite. C’est en gros 5 000 employés, et 90% sont des ingénieurs. Nous avons en fait trois métiers principaux. Le premier, dont je fais partie, c’est le domaine du conseil ; qui représente à peu près 400 consultants. Dans ce volet précis, nous sommes présents dans 11 pays et particulièrement ici en Algérie. Le deuxième métier, c’est ce qu’on appelle l’expertise ; qui est très spécifique en fait aux pays européens. Il consiste à mettre à la disposition du client des experts qui vont travailler directement chez lui pour une durée, disons, presque indéterminée mais en général ce sont des missions qui durent entre trois mois et deux ans. La raison essentielle de ce genre de demande relève tout simplement du fait que beaucoup d’entreprises clientes de Devoteam sont issues du monde bancaire, industriel et des services et donc au lieu d’envisager un recrutement, qui suppose notamment un plan de carrière, il est fait appel plutôt à des sociétés de services pour des personnels d’appoint qui viennent renforcer des équipes déjà en place. Le troisième métier, c’est ce que nous appelons « solutions » ; où il est question d’apporter carrément une solution globale à une direction des systèmes d’information en vue, comme exemple, de pouvoir améliorer la gouvernance des systèmes d’information. Un exemple dans ce domaine : ce qu’on appelle l’ITSM (IT Service Management), qui consiste à la fois  à modéliser un certain nombre de processus clés dans une DSI, tels que la gestion des incidents, des changements, etc., donc une démarche ITIL; mais qui s’accompagne en même temps d’un outillage informatique qui va permettre d’industrialiser ces processus.  Pour en revenir au consulting, c’est un domaine qui s’est créé au sein de Devoteam à la fois par croissance interne mais également par croissance externe. Nous avons acquis un certain nombre de sociétés qui étaient, dans ce domaine-là, assez réputées et assez connues et qui ont travaillé sur tout ce qui est stratégie, marketing, particulièrement au niveau des opérateurs télécoms. Nous en avons accompagné beaucoup dans la définition de leur stratégie, de leurs catalogues de services, de la tarification aussi.
Vous avez parlé de gouvernance ; qu’en est-il exactement ?
Pour ce qui est de l’aspect gouvernance, c’est tout ce qui permet à une DSI de ne plus être la société de services à l’intérieur de l’entreprise mais celle qui va créer de la valeur, qui va apporter en fait des solutions innovantes au sein de son entreprise dans le but non seulement de rentabiliser l’outil informatique mais aussi de pouvoir être une force de propositions en termes de réduction des coûts. Nous sommes également dans ce qu’on pourrait appeler du business consulting ; là ça touche à un certain nombre de points, notamment la partie risques et organisation, mais aussi tout ce qui va permettre aux infrastructures techniques, qu’elles soient de type télécoms ou informatiques, de pouvoir être pleinement au service de l’entreprise. C’est ce nous appelons Cennecting Business and Technology. Au-delà de ce que nous faisons dans le management des systèmes d’informations, de la conduite du changement, de la transformation, nous intervenons sur ces aspects-là qui parfois sortent du domaine de l’IT.  Aussi, lorsqu’on parle de gestions de crise, nous allons constater que celle-ci peut être liée à un problème informatique mais peut être également liée à un problème purement de ressources humaines. Pour ce faire, nous utilisons la même méthodologie, c’est ce qui est assez remarquable.
Revenons-en à Devoteam en Algérie?
Alors, officiellement, Devoteam Algérie existe depuis 2007, réellement à partir de 2008; vous devinez que c’est le temps de s’installer, de récupérer toute la paperasse administrative. Nous avons donc commencé à travailler activement à partir de 2008 bien que nous ayons eu bien avant un certain nombre de projets que nous avons conduits directement à partir de la France. Et partant de là, on peut dire que la présence de Devoteam en Algérie a débuté en 2000 ; suite à un projet que nous avons mené pour la Banque centrale ; qui avait consisté à élaborer le schéma-directeur télécoms en vue de la préparation de la mise en place du système de télécompensation interbancaire  ainsi que du système de transfert de gros montants en temps réel (RTGS). Ce schéma a connecté l’ensemble des succursales de la banque et avait mis en place l’infrastructure qui allait permettre aux différentes banques de pouvoir s’interconnecter afin d’assurer la télécompensation. Ce fut le premier projet mené en Algérie entre 2000 et 2001. A partir de là, j’ai commencé à convaincre mes responsables hiérarchiques de l’intérêt de l’Algérie, moment où nous avons commencé à prospecter, toujours à partir de la France, jusqu’à 2003 à peu près, aboutissant en 2004 à un deuxième projet, pratiquement identique à celui de la Banque d’Algérie, avec le Crédit populaire (CPA).  Schéma-directeur télécoms également sauf que la problématique se situait dans le fait que l’architecture télécoms du CPA était basé sur du x25 et la banque avait souhaité migrer vers une solution plus moderne, donc en IP, afin de pouvoir mettre en place tous les nouveaux services à valeur ajoutée qu’une banque peut fournir à ses clients.  Avant la création de Devoteam Algérie, nous avons également répondu à un avis d’appel d’offres lancé par le CPA et qui avait porté sur la sécurité informatique et des réseaux; que nous avons mené aussi à partir de France. Ce projet, jusqu’à aujourd’hui, n’est pas encore terminé pour des raisons techniques, mais qui est toujours d’actualité. Ce projet comprend trois éléments : premier élément, c’est définir la politique globale de sécurité du système d’information, l’ensemble de ses déclinaisons en termes d’organisation et de processus. Deuxième volet, qui est le pendant de la sécurité, c’est la mise en place des ressources techniques en vue d’assurer une continuité de services. Un plan de secours informatique, avec la mise en place d’un site de back-up, qui assurerait en fait la reprise d’activité. Enfin, troisième volet de ce projet, celui de définir le plan de continuité de l’activité, en termes de continuité opérationnelle, maintien en condition, gestion de crise, etc.
Par quoi se caractérise le marché IT algérien; à quel genre de problématique faites-vous face ?
La problématique à laquelle nous avons souvent été confrontés ici en Algérie, c’est que les directions informatiques sont conscientes de la nécessité d’un accompagnement par des cabinets-conseils qui viennent leur apporter l’expérience internationale qu’elles n’ont pas ; mais la difficulté, c’est la compréhension de ce besoin par les directions générales qui n’est pas tout à fait évidente. Pour une direction générale, l’informatique, c’est d’abord et avant tout un outil, et ce dernier doit fournir un certain nombre de choses, et tout ce qui est autour, en fait tout ce qui est gouvernance, fait défaut. Et c’est là où se situe la difficulté. Les directions sont souvent prêtes à investir dans l’acquisition d’équipements, parce que ça va entrer dans l’actif de l’entreprise, plutôt que dans l’acquisition d’un savoir qui, lui, est immatériel.
Oui mais techniquement ?
Techniquement, le marché n’est pas encore véritablement mature à cause justement de cette absence de gouvernance.
Donc, quelque part, il n’existerait pas de synergie dans la vision entre une DG et une DSI ?
D’une part, et puis on ne réagit qu’en fonction de la situation. C’est-à-dire que si je reviens à cette problématique de continuité de l’activité, cette situation n’est pas totalement mature ici en Algérie parce qu’aucune réelle catastrophe majeure n’a été subie. Par contre, le monde bancaire en a subi une début janvier. Beaucoup de banques, publiques et privées, se sont retrouvées avec un nombre d’agences fermées car saccagées suite aux émeutes qu’il y a eu. Je crois que celle qui a subi le plus de dommages, ça doit être la BNA et le CPA. En gros, sur tout le territoire national, il y a eu je crois une quarantaine d’agences saccagées, dont certaines importantes. Ce qui a nui à la continuité en termes de télécompensation car la télécompensation a pour principe de se faire dans un délai donné et il y a à un moment un cut-off qui doit théoriquement faire en sorte que l’ensemble des banques se retrouvent avec un solde net et ne pas être débiteur ni vis-à-vis de leurs partenaires ni de la Banque centrale qui, elle, détient les comptes de chacune de ces banques afin de pouvoir justement assurer les différents échanges entre elles. Et lorsqu’il y a un certain nombre d’agences bancaires qui ne participent plus à ce système de télécompensation, il y a un blocage de ce dernier qui va induire des retards, qui ne sont pas rattrapables. C’est-à-dire qu’une journée de télécompensation perdue, on ne va pas pouvoir la récupérer le lendemain ni même au bout d’une heure. On est obligé de la rattraper au bout pratiquement de plusieurs jours. Et c’est à ce moment-là que la question de savoir comment gérer ce genre de situations a été posée. Les banques qui disposaient d’un plan de continuité, de processus, d’une organisation, les banques françaises surtout au vu de la densité de leurs réseaux ou étrangères de manière générale, ont pu répondre et réagir rapidement vis-à-vis de la demande ; y compris même proposer des solutions de repli à leurs clients. Et c’est là où l’on réalise qu’un plan de continuité, ce ne sont pas seulement des aspects techniques, ce sont aussi des aspects d’organisation. Le client, quand il a un compte dans une agence saccagée, son problème c’est d’être en mesure de disposer de son argent, alors il faut que la banque trouve des solutions, parmi lesquelles le repli sur d’autres agences, en permettant donc à ce client de se considérer comme s’il était dans sa propre agence ; y compris un repli des employés de l’agence de manière à ce que le visage humain, donc la relation humaine, qui est très importante, fasse qu’il se retrouve dans des conditions pratiquement normales.
Il existe une prise de conscience sur la nécessité d’un plan de continuité d’activité ?
Tout à fait. Je pense aujourd’hui que c’est un sujet qui est réellement d’actualité parce qu’il y a eu ces exemples de début d’année en Algérie ; il y en a eu d’autres en Tunisie où ils ont connu une gestion de crise avec les événements que le pays a connus. Aujourd’hui, lorsqu’on rencontre certaines banques, oui elles nous affirment posséder un plan de continuité mais qui se traduit uniquement par des ressources techniques. On a mis en place un site de back-up et on est en mesure de pouvoir basculer sur ce site. Voilà ce qui est affirmé. Ce qu’elles oublient souvent, c’est qu’un plan de continuité d’activité, ce n’est pas uniquement la mise à disposition de ressources techniques. C’est également un certain nombre de plans intermédiaires et d’exercices qui doivent être  régulièrement faits car un plan de continuité doit évoluer dans le temps. Et c’est quelque chose, de mon point de vue, qui ne fait pas partie de leur visibilité. Parce que les banques n’ont pas l’expérience internationale qui leur permet de pouvoir mieux bâtir un réel PCA.
Comment faire face au risque avec un PCA ?
Il y a deux éventualités. En premier, le problème du risque majeur. Tremblement de terre ! Ce risque-là va être encouru par l’ensemble de la place financière. Autrement dit, la totalité de la place est à l’arrêt. C’est aussi une situation de catastrophe nationale et il faut un temps avant que ça ne reprenne. C’est un fait, et effectivement là-dessus, on peut dire que les moyens de secours peuvent être ce qu’ils sont, ça ne pose pas de problème car tout le monde est dans la même situation. Par contre, il y a le risque interne. Lequel est un risque qui ne va engager qu’un établissement financier. Mais il va impacter l’ensemble de la place par le fait qu’il va arrêter toutes les interactions, l’interbancarité. Et c’est à ce niveau que la situation n’est pas totalement maîtrisée au sein des institutions financières algériennes qui, selon moi, n’envisagent que les risques globaux, mais pas les risques internes.
Qu’est-ce que les risques internes ?
Ces risques peuvent être de plusieurs sortes. On peut imaginer l’inaccessibilité au site, c’est-à-dire que le système fonctionne, mais on ne peut pas y accéder. Si l’on ne peut pas y avoir accès, alors il y a un nombre d’opérations qui risquent de ne pas passer car il y a souvent des interventions manuelles, humaines en tout cas, sur les systèmes. D’un autre côté, il y a des incidents internes liés à de la malveillance, intentionnelle ou non. Il peut y avoir aussi toute sorte d’autres risques. Les servitudes ! Un exemple très instructif : vous avez un datacenter, vous avez une coupure électrique, vous avez tout prévu, notamment un groupe électrogène, mais ce dernier ne démarre pas. Deux raisons éventuelles au fait que ce groupe électrogène ne démarre pas. Soit il n’a jamais été révisé, soit tout bêtement on a oublié de mettre du gasoil. Et je vous assure que c’est arrivé. Ce genre de choses arrive soit parce qu’on va élaborer un plan de continuité d’activité de manière totalement théorique et on n’a pas décliné cela en termes d’organisation, de processus de tests et d’exercices, soit il n’existe pas du tout de plan de continuité d’activité. Il existerait à la place ce qu’on pourrait appeler un secours informatique, qui, parfois, n’est pas bien conçu.
Et quelle est la réponse de Devoteam à ce genre de situations ?
Nous, notre réponse est multiple. Il peut y avoir une réponse globale, c’est-à-dire on est sollicité pour mettre en place un véritable plan de continuité, avec toutes les déclinaisons à la fois fonctionnelles, techniques et organisationelles. Il peut y avoir aussi un audit. Autrement dit un cadrage. Au sein d’un plan de continuité, il peut y avoir un volet qui pourrait concerner la gestion de crise. Et là nous allons rentrer dans le cadre de tests et d’exercices. Nous allons simuler un certain nombre de crises possible et nous allons voir comment vont réagir les organisations et les procédures que nous avons mises en place.
Le PCA ne concerne pas que le secteur de la finance…
Il y a ce qui relève de la sécurité nationale. Si on prend quelque chose de tout simple ; les registres d’état civil, qui aujourd’hui sont éparpillés un peu partout, bien qu’ils soient effectivement centralisés, en termes papier, à un endroit ; nous ne sommes pas à l’abri d’un incendie, d’une inondation. Alors soit nous faisons de nouveau une collecte de l’ensemble des registres, commune par commune, soit il faut trouver une solution qui soit radicale. L’exemple que je peux vous citer est un exemple danois ; un petit pays certes mais dans le domaine de l’administration électronique, je crois qu’il est parmi ceux qui sont le plus en avance. Dans ce pays, la première des choses qui a été faite fut de numériser tous les registres de l’état civil. Il les a centralisés, en même temps qu’il les a décentralisés au niveau des communes où chacune d’elles dispose, dans son propre serveur, bien sûr des registres qui concernent ses propres habitants mais au même moment va mettre à jour régulièrement un fichier central d’état civil, en plus des tests de conformité et d’intégrité des donnés qui sont systématiquement faits ainsi que des opérations de simulation de crises. Sans vous parler des autres secteurs névralgiques comme celui de la défense.
Existe-t-il un plan de continuité national ?
Pas en ma connaissance. Mais je pense qu’il en faut absolument. Et le meilleur exemple que je puisse donner c’est celui des Etats-Unis qui, après le 11 septembre, ont mis en place un plan de continuité national.
Avez-vous pu mesurer ; au vu de votre expérience et de votre présence sur le terrain, le degré de maîtrise d’un PCA ?
Nous avons pu le mesurer. Que ce soit ici, au Maroc ou en Tunisie. Pour l’Algérie, pour l’instant, je pense que ce n’est pas tout à fait mature. Il n’y a pas eu de véritable débat qui a été mené dans ce domaine et il est impératif qu’il y ait lieu.
Considérez-vous que nous soyons vulnérables en cas de sinistre ?
Absolument, nous sommes vulnérables. Totalement vulnérables. Ne serait-ce que dans le domaine financier.
 
BioExpresse
Ahmed Zerrouki, consultant, est docteur en physique nucléaire, diplômé de l’Institut de physique nucléaire d’Orsay en 1979, après un passage début des années 1970 à l’Université centrale d’Alger.  Il a occupé plusieurs postes comme ingénieur R&D chez Thomson et Alcatel. Il conçoit la première carte RNIS (ISDN) sur PC en Europe au sein de SCII TELECOM, société dont il est l’un des co-fondateurs. Toujours au sein de SCII TELECOM, il développe ensuite toute une offre sur PC orientée réseaux haut débit (interconnexion de réseaux d’entreprise, offre ATM débits intermédiaires, etc.). Après une expérience américaine de plus de deux années dans le développement de l’offre ISDN sur PC, il rejoint le premier cabinet de conseil en infrastructures réseaux et télécoms, Siticom, avec comme objectif de piloter le pôle Opérations du groupe, Telecom Operations. Suite au rapprochement de Siticom avec Devoteam en 2002, il s’engage dans le développement du pôle conseil du groupe en Algérie. Ahmed Zerrouki travaille depuis plusieurs années sur des projets réseaux et télécoms et dans le management et la gouvernance des systèmes d’information avec des sociétés algériennes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *